分享发现 数字未来是否完全无密码?

henry.chen · July 19, 2023 · 5 hits

你知道吗?易于猜测的密码约占数据泄露的 80%。由于我们现在需要登录许多应用程序,我们经常选择容易记住的弱密码,或者重复使用现有密码。并且网络钓鱼和网络攻击比以往任何时候都更复杂。

基于密码的身份验证是昂贵和复杂的,除了安全问题,还需要客户支持、存储和维护。我们必须重新思考身份验证,永久消除密码,并避免将个人信息存储在中央数据库中。

风险不仅仅是对最终用户/消费者有影响;在潜在的数据泄露中,企业可能会遭受声誉损失、法律费用和罚款。

幸运的是,FIDO 联盟的无密码身份验证已经作为用户为中心的身份解决方案的一部分展示了令人期待的结果。

为什么中央存储的“秘密”无法起作用

近年来,获取个人和登录凭据的尝试次数达到了历史最高水平,网络钓鱼和网络攻击不断增加。

根据 HYPR 的《2022 年无密码安全报告》,2022 年网络钓鱼攻击影响了 89% 的企业。

而且网络攻击也在不断增加。我们时代最重要的网络攻击之一直接针对用户登录和其他个人信息,在雅虎!发生了——最初报道为超过 5 亿,于 2016 年底报告,但发生在 2014 年。同样,在同一月底,对 2013 年的第二次数据泄露进行了报告;当时起初认为次泄露超过 10 亿,但事实上是 30 亿个账户。

甚至密码管理器近年来也遭到了黑客入侵;最近的一个例子是 LastPass,报告的时间较晚,并且意识到的比最初想的更晚,造成的破坏比最初想的更大。事实证明,黑客成功窃取了客户密码库的备份。如果黑客成功解密该库并破解主密码,他们将方便地访问“所有”密码,并且链接到相应的网站。对于弱“主”密码的用户来说,这不是好消息!

近年来,Canva、Dropbox、微软、苹果和 PayPal 相继遭到黑客攻击,其中大多数在自己方面保持低调。

尽管并非所有攻击都以密码用户管理数据库为目标或成功,但大多数攻击都是如此。在大多数情况下,例如雅虎和 LastPass,损失被低估并且报告晚,随着时间的推移,逐步曝光了更多的人的机密数据。

那么有关生物识别作为第二因素的有希望的方法如何呢?2023 年 4 月,BBC 新闻报道了对“Genesis Market”的国际行动,该平台是犯罪分子用来出售受害者的个人信息。该平台出售了两百多万人的数字指纹和八千万个登录凭据。

重新思考身份验证——无密码背后的联盟:FIDO

FIDO 联盟有 250 个多样化的成员组织,他们聚集在一起重新设计我们在企业和消费者市场上进行身份验证的方式。

自 2012 年以来,一些知名成员合作了这项任务,包括微软、苹果、谷歌、亚马逊、Meta、Yahoo Japan、英特尔、联想、三星、威讯(Visa)、万事达卡(Mastercard)、美国运通(American Express)、贝宝(PayPal)和 VMware。

YubiKey、Thales、TrustKey、RSA、1Password、LastPass 和 Feitian 等安全硬件和软件供应商也是该联盟的一部分。

FIDO2 是如何工作的

FIDO2 使用的是 Passkeys 而不是密码——基本区别是它们不像密码那样存储在中央数据库中。

只要遵循 FIDO-2 标准和协议,可以以各种方法实施 FIDO2,例如 PIN 码、生物特征扫描(如面部或指纹刷卡)、外部密钥或移动应用程序代码等。在这里你可以练习不使用密码的登录。

这是 FIDO 联盟演示多设备凭据使用的视频:

Youtube FIDO 联盟 — 无密码演示

无密码更安全的原因

与许多其他安全方法一样,FIDO 协议使用公钥加密来实现更强大的身份验证,而无需在服务器上存储密码。

简而言之,它的工作方式如下:

在注册时,为每个用户生成一个唯一的公私钥对,私钥保留在用户端,公钥在网络上向互联网服务注册。这样,私钥从不通过网络共享,也不存储在任何组织的数据库中。

每次用户想要无密码登录时,设备通过响应服务器端发送的“挑战”来进行验证,用户按照指示采取某些操作“解锁”它,以证明对私钥的拥有。

为了使截获更加困难,交换的公/私钥挑战消息被编码为复杂、多字符和随机的。这个过程仅适用于该应用程序,所以很难破解。

总体而言,它有助于确保客户端和服务器之间没有“共享秘密”,不像密码被发送到服务器并存储在中央数据库中。

FIDO-2 Passwordless 面临的挑战

采用率低——你遇到过多少个完全集成了无密码身份验证的应用程序或网站?不多。

为什么?改变用户行为是困难的;你不能强迫个别用户升级他们的笔记本电脑或手机以使用生物识别技术或外部设备创建 Passkeys,而 PIN 码选项可能过于简单化。你不能强加入职、培训或强制政策在消费者市场上,就像在企业市场上那样。

账户恢复仍然是一个问题。一些恢复方法仍然需要密码,但这不是矛盾吗?毕竟,恢复选项将密码保留在中央数据库中。

值得阅读的是这篇白皮书,其中描述了 FIDO 先驱们如何处理这个问题:“减少基于 FIDO 的消费者账户的账户恢复需求的多种认证器”。

先驱们的无密码进展

微软——Gartner 多次将其选为身份和访问管理魔力象限的领导者。

微软创建了一款身份验证器应用程序和 Windows Hello 生物特征身份登录,供企业和个人使用。此外,它还为去中心化数字身份钱包的区块链做出贡献。企业已经开始实施无密码 Azure Active Directory 和 Microsoft Entra Identity 产品,这些产品包括所有新的身份功能,包括无密码。

苹果最近宣布了 Passkeys 功能。苹果使用 iCloud Keychain 在使用相同 Apple ID 登录的设备之间共享私钥(存储在设备上),免去了为每个设备进行注册的需要。

谷歌正在努力将 FIDO2 技术整合到 Chrome、ChromeOS、Android 和其他平台中。

最近,谷歌宣布了 Gmail 和其他产品套件的无密码登录!在过渡期内将提供其他认证选项,但他们的目标是逐步完全无密码化。

eBay 已经在企业账户上实现了无密码访问,不过需要一个符合 FIDO2 的外部密钥。我建议阅读详细阐述他们的无密码企业之旅并简要涉及消费者市场计划的出版案例研究。其中还有一项有趣的数据驱动的效益分析。

eBay 已宣布逐步消除消费者账户的密码。但他们可能会引入更容易访问和包容性更强的无密码选项,如 PIN 码(不太安全,但更容易使用)和其他生物识别选项。

结论

十多年来,获取密码的网络钓鱼和网络攻击给各种企业带来了困扰,从大型技术公司所有者到身份验证供应商、制造商和服务提供商。

Fast-Identity-Online(FIDO)联盟与 W3C 合作,维护着通用的标准和协议,以实现在各种平台、设备、浏览器和任何硬件上交互和一致的无密码实施。

开发人员现在可以获得足够的规范,以在不同的场景和环境中创新地实施无密码,同时保持相同的互操作性和安全标准。大多数浏览器已经构建了与 FIDO-2 无密码兼容的 API,并在各种设备上实施了客户端到认证器 2 协议。

鉴于技术环境的复杂性、全球网络业务的增长以及不断增长的网络攻击,未来可能确实是无密码的。

来自:https://seyhanhan.medium.com/passwordless-authentication-is-the-future-5d0421cdbb0a

No Reply at the moment.
You need to Sign in before reply, if you don't have an account, please Sign up first.